Infos

Bucbi fait peau neuve

Le ransomware Bucbi, qui était apparu il y a deux ans, est devenu plus exclusif et utilise les attaques par force brute.

Des chercheurs de Palo Alto Networks on découvert une nouvelle version de Bucbi sur un Windows Server ; le malware exigeait une rançon de 5 bitcoins (2 320 dollars) pour le déchiffrement. L’analyse a permis de démontré que cette nouvelle version du ransomware ne pratique plus la diffusion généralisée comme il y a deux ans mais préfère les attaques ciblées.

« Par le passé, le ransomware attaquait tout le monde sans distinction et se propageait via des pièces jointes ou des sites malveillants » a expliqué Ryan Olson, chercheur de Palo Alto, à Threatpost. « Les individus malintentionnés ont désormais changé de stratégie et utilisent des attaques par force brute. »

D’après Ryan Olson, la version actualisée de Bucbi s’intéresse principalement aux réseaux d’entreprise qui abritent des serveurs RDP accessibles via Internet. Les individus malintentionnés accèdent à ces serveurs Windows via un utilitaire baptisé RDP Brute capable de trouver les mots de passe à l’aide d’un dictionnaire.

Dans leur rapport, les chercheurs ont émis l’hypothèse selon laquelle les cibles principales, identifiées sur la base d’une liste de comptes utilisateur, seraient des terminaux de point de vente. Cette liste contient des noms d’utilisateurs tels que FuturePos, KahalaPOS, BPOS. « Il est tout à fait possible que l’attaque a débuté par une recherche de terminaux de point de vente (par les individus malintentionnés) et après la compromission, lorsqu’ils se sont rendus compte que le périphérique infecté ne réalisait aucune transaction financières, ils ont changé de tactique » supposent les experts de Palo Alto.

L’autre nouveauté est l’abandon de la communication HTTP entre Bucbi et le serveur de commande. Les individus malintentionnés établissent simplement un contrôle RDP complet sur le système attaqué.

Ryan Olson explique que « Bucbi est unique car il est plus qu’un malware diffusé par des méthodes automatiques. Au cours des deux dernières années, il a évolué et est devenu un outil qui peut servir à trouver des données confidentielles, à obtenir une représentation du réseau et à chiffrer les fichiers ».

Un autre trait unique qui n’a pas encore pu être confirmé est la motivation politique des attaques organisées avec son aide. C’est du moins ce qu’affirment ses exploitants. Ryan Olson explique « qu’ils n’ont jamais trouvé d’éléments confirmant ces affirmations ».

L’analyse a identifié de nombreux incides qui permettent d’affirmer que les nouvelle attaques sont liées à Bucbi ; notamment, l’adresse e-mail reprise dans le message de la demande de rançon et que les chercheurs ont pu associer au groupe nationaliste ukraine « Secteur droit ».

Lors d’un entretien avec Threatpost, Ryan Olson a indiqué que Bucbi était un représentant classique du renouveau des escroqueries qui misent sur le chiffrement des informations au lieu du vol en vue de la vente. « Si j’étais un ‘méchant’ désireux de compromettre une institution médicale, je pourrais voler des données personnelles et cliniques. Toutefois l’écoulement des données volées pour obtenir de l’argent et transformer cette activité en source de revenus n’est pas une mince affaire » reconnaît l’expert de Palo Alto. L’utilisation du ransomware signifie que tous les systèmes qui peuvent être compromis ont une valeur potentielle. »

Fonte: Threatpost

Bucbi fait peau neuve

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception